СВЦРеади

Сајбер криминалци користе раније непознати учитавач малвера који се испоручује путем пхисхинг напада. Детаљи о претњи и повезаним кампањама напада откривени су јавности у извештају ХП-а. Према налазима истраживача, претња праћена као СЦВРеади користи необичну технику када се учита на уређај жртве. Треба напоменути да иако се претња не може у потпуности приписати одређеној АПТ групи, постоје одређене везе између кампање напада и претходних претећих операција које је извела група ТА551 (Схатацк).

СВЦРеади се дистрибуира унутар затрованих Ворд датотека прикачених уз е-поруке. Оштећене датотеке и даље користе ВБА макрое за извршавање схелл кода, који заузврат испоручује корисни терет са удаљене локације. Међутим, у случају СВЦРеади-а, ВБА макрои и схеллцоде су раздвојени, а нападачи скривају компромитовани схеллцоде унутар својстава датотеке. Када се претња примени на систем, прво ће извршити прикупљање почетних информација путем упита регистратора и Виндовс АПИ позива. Прикупљени подаци ће се затим пренети на сервер за команду и контролу (Ц2, Ц&Ц). Комуникација између новијих верзија претње и њеног Ц2 сервера је РЦ4 шифрована.

Учитавач ће такође покушати да утврди да ли се покреће унутар виртуелизованог окружења тако што ће направити два ВМИ упита. У зависности од резултата, СВЦРеади би могао да уђе у 30-минутни режим спавања. Што се тиче његовог механизма постојаности, претња ће створити заказани задатак и нови кључ регистратора на пробијеном систему. Међутим, имплементација ове функције је тренутно мањкава и доводи до грешака које спречавају покретање малвера након поновног покретања. Ова функционалност би могла да се поправи у некој од наредних верзија, пошто ХП-ови истраживачи примећују да је СВЦРеади још увек у активном развоју. Актери претњи могу да упуте злонамерном софтверу да направи произвољне снимке екрана, покрене команде љуске, покрене изабрану датотеку или преузме додатне претеће корисне податке.